Saiba Mais

Política de Segurança da Informação

Art. 1º Esta Política contempla as principais regras e diretrizes dos dados que trafegam nas unidades e datacenter institucional da Universidade do Oeste de Santa Catarina (Unoesc), da Faculdade de Ciências Sociais Aplicadas (Facisa) e das Unidades de Educação Básica, Colégio Superação, Colégio Expressivo, Colégio Superativo, Colégio Unoesc e Colégio Unoesc de Educação Inovadora, mantidas da Fundação Universidade do Oeste de Santa Catarina (Funoesc).

Art. 2º O objetivo desta Política é orientar colaboradores, estudantes, docentes e terceiros com relação aos padrões de comportamento ligados à segurança da informação, condições de instalações de equipamentos, restrições de acesso, mecanismos de proteção, monitoramento e controle, entre outros cuidados imprescindíveis aos processos institucionais.

TÍTULO I

DOS PRINCÍPIOS

Art. 3º Esta Política de Segurança da Informação possui como princípios básicos a:

I - Confidencialidade: acesso às informações somente pelas pessoas e recursos que estão autorizadas a este acesso;
II - Disponibilidade: manter disponível a informação a qualquer momento para as pessoas ou recursos que estão autorizadas a este acesso e;
III - Integridade: garantir que as informações que trafegam e, principalmente, são armazenadas estejam íntegras para acesso a quem possui autorização para isso.

TÍTULO II

DAS DIRETRIZES GERAIS

Art. 4º As diretrizes estabelecidas nesta Política aplicam-se às informações que são criadas, armazenadas, processadas e transmitidas dentro da estrutura computacional da
Universidade do Oeste de Santa Catarina, da Faculdade de Ciências Sociais Aplicadas e das Unidades de Educação Básica, Colégio Superação, Colégio Expressivo, Colégio Superativo, Colégio Unoesc e Colégio Unoesc de Educação Inovadora, mantidas da Fundação Universidade do Oeste de Santa Catarina, padronizando e estabelecendo requisitos mínimos de segurança.

Art. 5º As informações que trafegam ou são armazenadas na estrutura institucional devem ser mantidas e protegidas, independente do seu formato e meio, de acordo com os princípios desta Política de Segurança da Informação.

TÍTULO III

DAS DIRETRIZES ESPECÍFICAS

Art. 6º São diretrizes específicas:

I - A confidencialidade das informações;
II - A gestão de riscos;
III - A gestão da contingência e continuidade;
IV - A auditoria e conformidade;
V - O controle de acesso
VI - A prevenção e vazamento de informações;
VII - A varredura de vulnerabilidades;
VIII - A criptografia;
IX - O desenvolvimento seguro.

Art. 7º As informações produzidas ou sob a responsabilidade da instituição devem seguir procedimentos de restrição de acesso de acordo com cada setor e unidade organizacional, garantindo que as informações não sejam compartilhadas ou acessadas por terceiros sem a devida autorização.
§1º Os colaboradores estão comprometidos a zelar pela segurança e confidencialidade das informações, além de serem orientados sobre a utilização do login e senha de acesso.
§2º Os terceiros também são responsáveis por garantir a confidencialidade, nos termos da relação contratual estabelecida entre as partes.

Art. 8º Caso seja detectada alguma invasão, vazamento de informações ou mesmo encriptação de dados, este deve ser tratado de acordo com a criticidade e nível de impacto condizente com o sinistro.
§1º No ambiente computacional devem ser adotados mecanismos que auxiliem na prevenção e promovam a segurança da informação, gerando logs e notificações caso percebam o uso indevido de algum usuário ou aplicação.
§2º As medidas técnicas como antivírus atualizado em todos os computadores institucionais, regras de filtragem por aplicação e pela base de conhecimento do firewall e atualização constante deste último também são imprescindíveis.
§3º Medidas organizacionais, como conscientização dos colaboradores e treinamentos relacionados à segurança da informação, também são fundamentais na gestão de riscos, sendo assim, devem compor o calendário anual de capacitação da instituição.

Art. 9º O Plano de contingência e continuidade deverá ser mantido de forma a mitigar os riscos e tratativas para cada cenário, bem como definir os pontos focais para contato, com o intuito de minimizar os impactos decorrentes da indisponibilidade de serviços.
§1º O documento mencionado no caput deve conter informações detalhadas sobre o funcionamento da estrutura operacional e as principais medidas de contingência caso alguma falha ou desastre ocorra.
§2º O setor de Tecnologia da Informação (TI) institucional deve analisar e identificar pontos de melhoria, propondo uma atualização de recursos necessários para que a continuidade dos serviços seja garantida, com uma projeção de expansão.

Art. 10º Visando prever a legitimidade dos usuários e a segurança das informações, adotamos como padrão:
I - Autenticação;
II - VPN (Virtual Private Network);
III - Pentest (testes de intrusão).

§1º Para utilizar a rede e os recursos será exigido um login pessoal, cuja responsabilidade é assumida no ato do ingresso na instituição e, para usuários externos, avaliadores, empregados terceirizados, deverá ser preenchido e assinado o termo para uso de recursos
computacionais e acesso à rede de computadores. Será criado um usuário individual com validade limitada, tendo acesso somente aos recursos autorizados.
§2º Usuários que não possuem vínculo com a instituição poderão utilizar a rede Wi-Fi “visitantes”, a qual requer o preenchimento de um cadastro para obter acesso e a utilizarão com políticas mais restritivas.
§3º O acesso externo deverá ser realizado exclusivamente via VPN com a devida autenticação, sendo que os colaboradores podem obter autorização, de acordo com as permissões de usuário, do seu superior imediato e o acesso de terceiros deve ser autorizado pelo setor responsável e validado pela TI.
§4º Para validar as boas práticas implementadas no ambiente computacional, deverão ser executadas periodicamente rotinas de Pentest, ficando a cargo da equipe de TI definir a periodicidade, os escopos e segmentos da estrutura computacional que serão testadas e quais os testes que podem e devem ser realizados.

Art. 11 O acesso aos dispositivos, arquivos e à rede institucional é controlado valendo-se de níveis hierárquicos e funcionais de acesso, sendo que constantemente novos dispositivos que não estão sob o domínio institucional ingressam na rede (computadores e celulares particulares de alunos e colaboradores), os quais devem ser tratados com um nível de segurança mais restritivo.

Art. 12 O ingresso dos funcionários na rede institucional deve observar os seguintes requisitos:
a) no momento da contratação, o setor de Recursos Humanos (RH) fará a criação do usuário no sistema acadêmico e para uso nos computadores e rede;
b) no ato de encerramento do vínculo empregatício com a instituição, o setor de Recursos Humanos removerá os acessos ao sistema acadêmico e demais serviços;

Art. 13 Usuários com perfil de estudante não devem conectar em computadores administrativos, uma vez que as redes são segmentadas.

Art. 14 Softwares utilizados e desenvolvidos pela instituição devem gerar e armazenar logs de acesso e modificações, os quais devem ser persistidos de modo a permitir a rastreabilidade.
§1º O tráfego entre as redes internas e externas à instituição devem gerar logs para fins de auditoria e investigação.
§2º Deve-se utilizar a segmentação de rede para limitar a comunicação entre serviços distintos, com restrições de acessos avaliados pela equipe de TI.
§3º Servidores e equipamentos que não devam ser acessados pelos usuários em geral, devendo ser mantidos em rede separada, com políticas que bloqueiam os acessos não autorizados.
§4º Servidores com aplicações institucionais devem ter apenas o serviço ou aplicação disponível para acesso, bloqueando o acesso de administração e demais protocolos.

Art. 15 A prevenção a vazamento de informações ocorre com o controle de acessos e níveis hierárquicos de utilização de sistemas, assegurando que dados e informações provenientes da rede institucional e sistemas internos sejam utilizados de forma inadequada ou disponibilizados indevidamente a terceiros.
Parágrafo único. A conscientização dos colaboradores, por meio de treinamentos, e a disseminação de boas práticas relacionadas ao uso de informações e dados pessoais também são mecanismos de prevenção.

Art. 16 Todos os dados e informações que trafegam pela rede devem ser filtradas pelas políticas de análise de vulnerabilidades do firewall, o qual opera em esfera institucional sobrepondo regras locais se necessário para garantir a integridade do ambiente.

Art. 17 Computadores destinados ao uso dos colaboradores devem obrigatoriamente possuir uma ferramenta de antivírus, homologada pelo departamento de TI, bem como os servidores, sejam físicos ou virtuais.
§1º As informações que se encontram armazenadas devem ser constantemente analisadas pela ferramenta de antivírus.
§2º Caso necessário, utilizar software homologado pela TI para bloquear alterações ou instalação indevida de softwares no sistema operacional.

Art. 18 A decriptação de pacotes deverá ser implementada nas redes mais sensíveis à rastreabilidade e perda de informações.
§1º Nas redes sem fio, deve-se primar pela adoção de protocolos de encriptação e autenticação visando proteger, validar a identidade e, ainda, armazenar nos logs de uso o responsável pela conexão.
§2º Equipamentos que não possuam suporte a estes protocolos devem ser usados aplicando-se filtros de navegação mais restritivos, e por vezes com reserva de Internet Protocol/Protocolo de Internet (IP) e Media Access Control/endereço físico da placa de rede de um dispositivo (MAC), viabilizando uma melhor gestão sobre os dispositivos conectados. Senhas e demais credenciais de acesso armazenadas localmente ou em nuvem devem ser mantidas em ambiente criptografado.

Art. 19 As boas práticas de segurança que devem ser adotadas visando auxiliar o desenvolvimento de softwares na instituição são:
I - Gerenciamento de código fonte: deve-se utilizar um software para o mapeamento, registro de alterações e correção de bugs, devendo ser homologado pela equipe de desenvolvimento institucional, devendo atender a possibilidade de replicar as correções ou alterações para os ambientes de teste, homologação e produção.
II - Realização de testes dos sistemas: o processo de testes nos sistemas institucionais deve ser realizado pela equipe local de suporte de sistemas, ficando a cargo deste setor definir as melhores práticas, ferramentas e colaboradores para tal análise.
III - Gerenciamento de chamados: como ferramenta de gerenciamento de chamados deve ser adotado um software que permita a criação de diferentes áreas de atendimento, as quais devem possuir previamente cadastrados os técnicos disponíveis para o atendimento dos chamados, sendo que tal ferramenta deve possuir envio de mensagens alertando a abertura e fechamento de chamados, além de servir para manter o registro de melhorias e correção de problemas nos diversos sistemas.
IV - Cópias de segurança (backup): o setor de TI institucional deve manter, no mínimo, três cópias de segurança (metodologia 3-2-1 de backup) armazenadas em pelo menos duas mídias diferentes e, além disso, deve armazenar uma cópia fora do ambiente (Cloud) que deve ser mantida criptografada e com a imutabilidade ativada.
V - Resposta a incidentes: incidentes que porventura venham a ocorrer devem ser tratados de acordo com o nível de criticidade e impacto que causam, sendo comunicados imediatamente ao Encarregado de Proteção de Dados, observadas as normativas institucionais a respeito do tema.

TÍTULO IV

DAS DISPOSIÇÕES TRANSITÓRIAS

Art. 20 Fica estabelecido o prazo de três (3) meses para o cumprimento desta Política.
Art. 21 Esta Política poderá ser revisada periodicamente e os casos omissos deverão ser resolvidos pelo Reitor ou respectivo Vice-reitor da Unoesc, sob a orientação da Encarregada e do(s) Comitê(s) designados institucionalmente.

Voltar
Acesse o site da Unoesc pelo seu celular.